شركات أمن إلكتروني تؤكد النشاط التجسسي لـ«روكت كيتن» وترجح صلتها بالحرس الثوري الإيراني

علماء نوويون وفيزيائيون ومعارضون إيرانيون ضحايا هجمات القرصنة

كشف خبراء عالميون في مجال الأمن الإلكتروني، أخيرا، عن نشاط مجموعة قراصنة سيبيريين استهدفت عددا كبيرا من الشخصيات والمؤسسات العالمية، واخترقت حساباتهم الإلكترونية وخزائن معلوماتهم خلال فترة زمنية محدودة. وأشارت مصادر مطلعة أن المجموعة التي تعرف باسم «روكت كيتن» أنشئت عام 2011، إلا أن عملياتها تكثفت منذ عام 2014.
واستهدفت المجموعة، التي يعتقد أنها من أصل إيراني، شخصيات بارزة في مختلف أرجاء العالم عبر استخدام البرامج الخبيثة، مدعومة بحملات «تصيُّد» مستمرة. ويُطلق على مجموعة التجسس الإلكترونية هذه اسم «روكت كيتن»، ولا تزال نشطة حتى الآن، حيث وردت تقارير تفيد بوقوع هجمات جديدة في شهر أكتوبر (تشرين الأول) الماضي.
وقامت شركات بيع أجهزة الأمن الإلكتروني، ومتخصصون في مجال الأمن، بمتابعة مجموعة «روكت كيتن» وهجماتها، ما أثمر تجميع معطيات أساسية حول طريقة عملها، والأدوات والتقنيات المستخدمة التي تتيح لها اختراقاتها، فضلا عن نوعية الجهات والشخصيات التي استهدفتها. وتتميز المجموعة باستخدام أدوات وموارد تقنية غير متطورة نسبيا، فضلا عن اعتمادها على أسلوب التصيد (فيشينغ) على نطاق واسع. وقد استهدفت المجموعة أفرادا ومنظمات بارزة في منطقة الشرق الأوسط، بما في ذلك أهداف داخل إيران نفسها، إضافة إلى أهداف في جميع أنحاء أوروبا والولايات المتحدة. وجرى اختراق الكثير من تلك الأهداف بنجاح باستخدام برمجيات خبيثة (مالاوير). وعلى الرغم من تحديد طريقة عمل هذه المجموعة، وضعف الهياكل الأساسية التي تعتمد عليها، فإن المخترقين استمروا في شن هجمات مرة بعد أخرى عن طريق إجراء تغييرات طفيفة على أدواتهم، أو مجالات تصيدهم.
وحصلت شركة الأمن المعلوماتي «تشيك بوينت سوفتوير تيكنولوجيز» على قائمة للأهداف كاملة من خوادم (أنظمة حاسوبية متصلة بالشبكة العنكبوتية) المهاجمين، وبلغ عددها نحو 1600 منذ منتصف عام 2014. وتشتمل لائحة الضحايا المؤكدين على مسؤولي دفاع رفيعي المستوى، وسفارات بعض الدول، وباحثين إيرانيين بارزين، ونشطاء في مجال حقوق الإنسان، ووسائل الإعلام، وصحافيين، ومؤسسات أكاديمية، وعلماء في مجالات مختلفة، بمن فيهم علماء في الفيزياء والعلوم النووية.
وراقبت شركتا أمن تكنولوجيا المعلومات «تراند مايكرو» و«كلير سكاي»، الهجمات الإلكترونية التي قادتها إلى نشاطات هذه المجموعة، وكشفت عن التقنيات والبرامج التي اعتمدتها لاختراق أنظمة تكنولوجية متطورة وفي غاية التعقيد بالنسبة لبعضها. وأبرز هذه البرامج يدعى «غول»، وهو نسخة خبيثة من برنامج «كور إمباكت برو» الذي تعتمد عليه جهات حكومية وشركات أمن إلكتروني عالمية. وأثبتت شركتا أمن أميركيتان هما «غادي إفرون» و«تيلمان ويرنر» ارتباط هذا البرنامج واختراقاته بالنظام الإيراني وبالحرس الثوري تحديدا.
من جانبه، أكّد شهار تال، كاتب التقرير المفصّل الذي نشرته شركة الأمن الأميركية - الإسرائيلية «تشيك بوينت تكنولوجيز» عن عمليات تجسس «روكت كيتن»، في حديث لـ«الشرق الأوسط» الارتباط الوثيق لـ«روكت كيتن» بالحرس الثوري الإيراني، استنادا إلى عدد من المؤشرات، تتقدمها إشارة من طرف الحكومة الأميركية وردت في الأسبوع الماضي بتورط هذه الجهة الإيرانية في هذه الهجمات الإلكترونية. إلى ذلك، أشار تال إلى التوافق الصارخ بين هذه الهجمات ونوعية الأوساط التي تستهدفها والمعلومات السرية التي تجمّعها من جهة، والمصالح السياسية والعسكرية الإيرانية من جهة أخرى. كما أن باحثي الشركة استطاعوا من مقرّهم في ولاية كاليفورنيا الأميركية الكشف عن هوية أحد أبرز أعضاء هذه المجموعة، ويبدو أنه إيراني الجنسية وفق ما صرّح به تال.
كما كشف التقرير، الذي اطّلعت عليه «الشرق الأوسط»، أن هذه العمليات استهدفت تحديدًا أمراء وشخصيات بارزة في أوساط اقتصادية وحكومية سعودية، وصحافيين ووكالات أنباء، فضلاً عن مؤسسات تعليمية وناشطين في حقوق الإنسان. كما شرح التقرير بالتفصيل كيف قام خبراء الشركة بالتنقيب داخل قاعدة بيانات جماعة المتسللين، مما أتاح لهم الحصول على خريطة أدوات البرمجيات الخبيثة، وأجهزة الكومبيوتر التي استخدمتها جماعة المتسللين، وتم التحكم فيها عن بعد. وذكر التقرير أن سفارات وملحقات عسكرية في كل من أفغانستان وتركيا وقطر والإمارات والعراق والكويت واليمن سقطت ضحايا لعمليات التجسس الإلكتروني التي أطلقتها هذه المجموعة خلال العام الماضي، إلى جانب شخصيات نافذة في حلف شمال الأطلسي (ناتو) في منطقة الشرق الأوسط.
من جانبهم، أكّد خبراء في «تراند مايكرو» الأمنية أن التقارير الإعلامية والاستخبارية التي صدرت في الآونة الأخيرة عن هذه المجموعة ونشاطها الإجرامي لم تحل دون تكثيف هذه عملياتها واستهدافها إلى عدد أكبر من الشخصيات. كما اتضح من خلال دراسة نمط الهجمات الإلكترونية لـ«روكت كيتن» أنها لا تستهدف شركات لمنافع اقتصادية أو غيرها، بل تركز نشاطها على أفراد يشغلون مناصب في الأوساط الدبلوماسية، والسياسات الخارجية، والدفاع، ما يميّز نشاطها الإجرامي عن الهجمات الإلكترونية التقليدية.
وحول التقنيات التي تستخدمها المجموعة، تبين من خلال رصد نتائج دراسات كل من «تشيك بوينت تكنولوجيز» و«كلير سكاي» و«مايكرو تراند» أنها تستعين بعدد لا يحصى من الأسماء المستعارة، والحسابات المزيفة، قد تكون تمثل نفس المخترقين والجهات الفاعلة في المجموعة، ما شكل تحدّيا حقيقيا لشركات الأمن الإلكتروني.
من ناحية أخرى، تبيّن أن قراصنة «روكت كيتن» لا يخشون التقارير الاستخباراتية ودراسات الأمن الإلكتروني الغربية، خاصة أنهم شنّوا حملات أكثر شراسة في الآونة الأخيرة، رغم تداول بعض المنابر الإعلامية وجهات استخباراتية تقارير وافية عن نشاطاتهم. ويكتفون عادة بإجراء تعديلات بسيطة على اسم نطاق التصيّد، وتحديثات لبرامجهم الخبيثة، بينما يواصلون عمليات رصد ضحاياهم واختراق أنظمة جديدة.
واستنادا إلى المعلومات المتاحة أعلاه ونتائج دراسات شركات الأمن الإلكتروني المذكورة، اتّضح أن أهداف نشاط «روكت كيتن» الإجرامي تجسّسية بحتة، كما تأكّدت صلتها بالمصالح الإيرانية السياسية والعسكرية.
وأكّدت «مايكرو تراند» أن أجندة أعمال المجموعة لا تعكس دوافع القراصنة التقليديين (سرقة أموال، انتحال شخصية، ترهيب جهة معينة...). فيما يصعب تحديد أهداف المجموعة بدقة، نظرا إلى ارتفاع عدد ضحاياها وتنوع مجالات نشاطاتها، تبقى غاية التجسس واضحة وثابتة في كل الهجمات التي شنتها وتم الكشف عنها إلى اليوم. والأمر الذي أجمع عليه الخبراء هو أن هذه المجموعة الإجرامية لا تستهدف سوى شخصيات تشغل مناصب استراتيجية وحساسة، سواء كانت في أوساط حكومية أو علمية أو عسكرية. وترجّح كل هذه المعطيات فرضية مشاركة قراصنة «روكت كيتن» في حملة تجسس إلكتروني على جهات خارجية، بهدف التعرف على سياسات المنافسين الإقليميين، والمعارضين الإيرانيين في الخارج، وبالتالي توجيه السياسة الخارجية الإيرانية. وكما أشير سابقا، يركز هؤلاء عملياتهم على شخصيات ذات علاقة بدوائر الحكم، أو بمجالات علمية حسّاسة، إذ يسهل اختراق حسابات الأفراد وأجهزة الكومبيوتر الخاصة بهم، على عكس الشركات والمؤسسات الحكومية.
وأوضح زميل في مركز «روسي» البريطاني للأبحاث خبير في شؤون الأمن الدولي، إيون لاوسن، لـ«الشرق الأوسط» في هذا السياق أن بعض الحكومات أصبحت تستخدم جماعات غير حكومية للقيام بهذا النوع من الأنشطة (التجسس واختراق أنظمة بيانات سرية)، وتوفر لهم الدعم والتوجيه أحيانا، كما تزودهم بأدوات تقنية متطورة. ويتعلق الأمر خاصة بدول مثل إيران وروسيا والصين. وأضاف: «والمثير في الأمر هو أنه من الصعب إثبات صلة الحكومات بهذا النوع من الأنشطة الإجرامية وبالجماعات التي تدعمها، وإن وجهت الاتهامات لها مباشرة، تكتفي بالقول: إنها لم تكن على دراية بالأمر وإنها ستتخذ الإجراءات اللازمة».أما فيما يتعلّق بسبل وقاية الأنظمة الإلكترونية من هذا النوع من الهجمات، فقال لاوسن إنه «يستحيل إقامة نظام حماية قادر على صدّ كل أنواع الهجمات. إلا أن 70 في المائة من الهجمات تقريبا، يمكن صدّها من خلال اتخاذ إجراءات بديهية، تشمل تغيير كلمات السر بشكل منتظم وإقامة جدار الحماية (فاير وول)، واستخدام برامج مكافحة البرمجيات الخبيثة كأحصنة طروادة (روت كيت) وسباي وير وغيرها».